.png)
.png)
.png)
.png)
Inhaltsverzeichnis
Die Anforderungen an die IT-Sicherheit für kritische Infrastrukturen (KRITIS) in Deutschland sind höher als je zuvor. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) gibt mit Regelwerken wie dem C5-Katalog klare Vorgaben, wie Cloud-Dienste genutzt werden müssen, um die Resilienz nationaler Schlüsselindustrien zu gewährleisten. Für IT-Entscheider bedeutet dies, dass Cloud-Anbieter nicht nur technologisch, sondern vor allem in Bezug auf Datensouveränität, DSGVO-Konformität und Transparenz überzeugen müssen. Die Auswahl eines Partners, der Daten ausschließlich in der EU speichert und vor dem Zugriff durch außereuropäische Gesetze wie den CLOUD Act schützt, ist keine Option mehr, sondern eine strategische Notwendigkeit. Eine souveräne Cloud-Architektur bildet die Grundlage, um die strengen BSI-Anforderungen zu erfüllen und gleichzeitig Ransomware-Risiken zu minimieren.
Schlüsselpunkte
- Die Erfüllung der BSI-Anforderungen für KRITIS beginnt mit der Wahl eines Cloud-Anbieters, der Datenspeicherung ausschließlich in EU-Rechenzentren garantiert und somit digitale Souveränität gewährleistet.
- Technologien wie unveränderlicher Speicher (Object Lock) sind entscheidend für den von KRITIS-Betreibern geforderten Ransomware-Schutz und die Datenintegrität.
- Ein transparentes Kostenmodell ohne Egress-Gebühren oder API-Kosten ist für KRITIS-Betreiber unerlässlich, um Budgetplanungssicherheit zu haben und einen Vendor Lock-in zu vermeiden.
Die Grundlage: BSI-Anforderungen und digitale Souveränität verstehen
Für die 10 Sektoren der kritischen Infrastrukturen in Deutschland ist die Einhaltung der Vorgaben des BSI nicht verhandelbar. Der C5-Katalog (Cloud Computing Compliance Criteria Catalogue) des BSI definiert dabei die Mindestanforderungen an sichere Cloud-Dienste und dient als wesentliche Grundlage für die digitale Souveränität. Es geht darum, die Kontrolle über die eigenen Daten zu behalten und sicherzustellen, dass diese ausschließlich nach EU-Recht verarbeitet werden. Eine zentrale Anforderung ist daher die Wahl eines Cloud-Anbieters, dessen Rechenzentren sich nachweislich in Europa befinden. Dies minimiert das Risiko von Datenzugriffen durch ausländische Behörden, wie es der US CLOUD Act ermöglicht. Die Entscheidung für einen europäischen Anbieter ist somit der erste Schritt zur Erfüllung der BSI-Vorgaben.
Schutz vor Fremdzugriff: Den CLOUD Act rechtssicher ausschließen
Eine der größten Gefahren für die Datensouveränität deutscher Unternehmen ist der US CLOUD Act. Dieses Gesetz verpflichtet US-Anbieter, Behörden Zugriff auf gespeicherte Daten zu gewähren, selbst wenn diese in europäischen Rechenzentren liegen. Für KRITIS-Betreiber stellt dies ein inakzeptables Risiko dar. Die einzig wirksame Gegenmaßnahme ist die Zusammenarbeit mit einem Cloud-Anbieter, der rechtlich und technologisch vollständig in der EU verankert ist. Impossible Cloud speichert als europäisches Unternehmen 100 % der Daten in zertifizierten EU-Rechenzentren und unterliegt damit ausschließlich der DSGVO.
Die Vorteile einer solchen Architektur sind:
- Rechtssicherheit: Es besteht keine rechtliche Verpflichtung zur Herausgabe von Daten an US-Behörden.
- DSGVO-Konformität: Alle Prozesse sind nach Design auf die Einhaltung der europäischen Datenschutz-Grundverordnung ausgelegt.
- Geofencing: Daten können auf bestimmte Länder innerhalb der EU beschränkt werden, um regulatorische Vorgaben, etwa im Gesundheitswesen, zu erfüllen.
- Transparenz: Klare vertragliche Regelungen garantieren, wo und wie Daten verarbeitet werden.
Diese strikte EU-Zentrierung ist eine Kernvoraussetzung, um die Anforderungen an die Datenhaltung zu erfüllen.
Technische Resilienz: Ransomware-Schutz und Hochverfügbarkeit gewährleisten
Die BSI-Anforderungen zielen nicht nur auf rechtliche, sondern auch auf technische und organisatorische Maßnahmen ab. Ein zentraler Aspekt ist der Schutz vor Cyberangriffen, insbesondere Ransomware. Unveränderlicher Speicher (Immutable Storage) durch Object Lock ist hierbei eine entscheidende Technologie. Damit werden Backups für einen definierten Zeitraum schreibgeschützt, sodass sie selbst bei einem erfolgreichen Angriff nicht verschlüsselt oder gelöscht werden können. Impossible Cloud bietet diese Funktion standardmäßig und unterstützt damit KRITIS-Betreiber direkt bei der Umsetzung ihrer Strategie zum Ransomware-Schutz. Die "Always-Hot"-Architektur stellt zudem sicher, dass alle Daten jederzeit ohne Verzögerung verfügbar sind, was komplexe und fehleranfällige Speicher-Tiers überflüssig macht und die Wiederherstellungszeiten (RTO) im Notfall drastisch verkürzt.
Zukunftssicherheit: NIS-2 und EU Data Act bereits heute berücksichtigen
Die regulatorische Landschaft entwickelt sich stetig weiter. Mit der NIS-2-Richtlinie und dem EU Data Act kommen neue Verpflichtungen auf Unternehmen zu, die weit über bisherige Standards hinausgehen. NIS-2 fordert von rund 30.000 Unternehmen in Deutschland ein umfassendes Risikomanagement und die Absicherung der gesamten Lieferkette. Der EU Data Act, anwendbar ab September 2025, stärkt die Datenportabilität und verbietet Praktiken, die den Wechsel zwischen Cloud-Anbietern erschweren (Vendor Lock-in).
Eine zukunftssichere Cloud-Strategie muss diese Punkte adressieren:
- Kein Vendor Lock-in: Die vollständige S3-Kompatibilität von Impossible Cloud stellt sicher, dass Anwendungen und Daten jederzeit portierbar sind.
- Transparente Kosten: Der Verzicht auf Wechselgebühren, wie sie der Data Act ab 2027 vollständig verbietet, ist bei Impossible Cloud bereits heute Standard.
- Sichere Lieferkette: Als europäischer Anbieter mit klaren Prozessen wird die Einhaltung der NIS-2-Anforderungen für die Supply-Chain-Sicherheit vereinfacht.
Die Wahl eines Anbieters, der diese Prinzipien bereits lebt, ist eine wichtige Komponente für jeden IT-Notfallplan.
Wirtschaftlichkeit und Performance: Kostenkontrolle für KRITIS-Budgets
KRITIS-Betreiber müssen nicht nur sicher, sondern auch wirtschaftlich arbeiten. Versteckte Kosten, wie sie bei Hyperscalern durch Egress-Gebühren (Kosten für ausgehenden Datenverkehr) entstehen, sind ein erhebliches Budgetrisiko. Diese unvorhersehbaren Gebühren können die Speicherkosten schnell um ein Vielfaches übersteigen. Impossible Cloud verfolgt ein transparentes Preismodell: Es gibt grundsätzlich keine Egress-Gebühren, keine Kosten für API-Aufrufe und keine Mindestspeicherfristen. Diese Berechenbarkeit ermöglicht eine präzise Budgetplanung. Gleichzeitig sorgt die S3-API-Kompatibilität dafür, dass bestehende Backup-Lösungen wie Veeam oder Synology und andere Anwendungen ohne Anpassungen weiterlaufen, was Investitionen schützt und die Migration auf eine souveräne Plattform mit minimalem Aufwand von oft weniger als 30 Minuten ermöglicht.
Für Partner und MSPs: Konforme Lösungen für KRITIS-Kunden anbieten
Managed Service Provider (MSPs) und Systemhäuser spielen eine entscheidende Rolle bei der Umsetzung der BSI-Anforderungen für ihre KRITIS-Kunden. Mit Impossible Cloud können sie DSGVO-konforme Backup-as-a-Service (BaaS) und Speicherlösungen unter eigener Marke (Whitelabel) anbieten. Das berechenbare Kostenmodell ohne Egress-Gebühren sichert dabei planbare und stabile Margen. Die Multi-Tenant-fähige Verwaltungskonsole, Automatisierung über API/CLI und die einfache Integration in bestehende ökosysteme machen es Partnern leicht, hochsichere und konforme Dienste für den deutschen Markt bereitzustellen. Die Partnerschaft mit dem Distributor api in Deutschland erweitert zudem den lokalen Zugang für Reseller und MSPs und stärkt das ökosystem für souveräne deutsche Cloud-Anbieter. Sprechen Sie mit einem Experten, um Ihre maßgeschneiderte Lösung für kritische Infrastrukturen zu konfigurieren.
Mehr links
Die Datenschutzkonferenz (DSK) bietet ein Positionspapier, das Kriterien für souveräne Clouds definiert.
OpenKRITIS stellt umfassende Informationen zu KRITIS-Mapping-Standards und den entsprechenden Maßnahmen bereit.
.png)
.svg){kind=small}
%201.png)
.svg){kind=small}